상세 컨텐츠

본문 제목

[마이크로소프트 SharePoint] ‘ToolShell’ 제로데이·웹쉘 공격으로 글로벌 온프레미스 서버 침해_2025년 07월

본문

제로데이 CVE‑2025‑53770, 53771 exploit · 웹쉘(spinstall0.aspx) 배포 … 온프레미스 SharePoint 서버 집중 피해

 



  개요  

     2025년 7월, Microsoft SharePoint 온프레미스 서버에서 CVE‑2025‑53770 (RCE) 및 CVE‑2025‑53771 (Spoofing) 제로데이 취약점이 ‘ToolShell’ 익스플로잇 체인으로 악용되어 수십여 국가의 공공·민간 기관 서버가 공격받았다. 공격자는 인증 우회 후 웹쉘을 주입하고 cryptographic keys 탈취, 내부망 장악, 랜섬웨어 유포까지 수행한 정황이 확인되며, SharePoint Online(M365) 환경은 피해에서 제외됨을 Microsoft가 공식 발표했다.

 

  사고내용 요약  

    1. 회사명/대상 : 온프레미스 SharePoint Server (Subscription Edition, 2019, 2016) 운영 조직
    2. 사고유형 : 사회공학 기반 Referer 헤더 Spoofing + Unsafe deserialization을 이용한 인증 우회 및 원격 코드 실행(WebShell 업로드)  

    3. 영향범위 : 약 75~400건 이상 서버 침해 확인, 정부기관·교육·에너지·의료 등 다양 산업 영향
    4. 공격자 그룹 : 중국계 APT 그룹(Linen Typhoon, Violet Typhoon, Storm‑2603) 연루

    5. 유출/악용항목 : 공격자에 의한 쉘 설치, 내부망 탐색 및 lateral movement

       - 웹쉘 파일 (ex: spinstall0.aspx)
       -  ASP.NET MachineKey(ValidationKey, DecryptionKey) 탈취 → ViewState forging
       -  내부 문서 유출, 랜섬웨어(예: Warlock, 4L4MD4R) 배포 등


  공격 패턴 및 웹쉘 정보  

    1. 접근 경로: /_layouts/15/ToolPane.aspx?DisplayMode=Edit
    2. Spoofing 인증창비우기: Referer: /_layouts/SignOut.aspx 헤더 조작으로 인증 우회
    3. 업로드 결과: spinstall0.aspx 웹쉘 파일 생성 → 암호화 키 탈취 → 이후 __VIEWSTATE 변조 요청으로 RCE 달성 (ysoserial 등 사용)

  웹서버 로그 탐지 방법  

    1. IIS 로그 cs-uri-stem 필드에 /layouts/15/ToolPane.aspx 또는 .aspx 웹쉘 접근 흔적
    2. Referer 이상 값 (/_layouts/SignOut.aspx) 포함 POST 요청 감지
    3. spinstall0.aspx 반복 다운로드 혹은 실행 흔적, w3wp.exe 통한 cmd, powershell 실행 추적 등
    4. EventLog 또는 보안솔루션 분석으로 ViewState 기반 명령 실행 흔적 확인 가능


  취약점 정보 (CVE 요약)   

    -  두 CVE는 2025년 7월 Microsoft 긴급 게시판 및 CISA에 의해 명시적으로 보고 됨

CVE 번호 유형 CVSS 설명
CVE‑2025‑53770 RCE (deserialization) 9.8 Referer spoofing + unsafe deserialization 기반 원격 코드 실행 가능(nvd.nist.gov, wiz.io)
CVE‑2025‑53771 Spoofing 6.3 인증 우회 취약점, ToolPane.aspx 접근 기반(Qualys, ncsc.gov.uk)

 

  온프레미스 vs 클라우드 환경 구분   

항목 온프레미스 SharePoint SharePoint Online (M365)
취약점 영향 O (직접 감염 사례 존재) X (영향 없음, Microsoft 조회 확인)(nvd.nist.gov)
패치 방식 수동 KB 패치 필요 (2016/2019/Subscr.) 보안패치 자동 적용
탐지 방법 IIS 로그 분석, 웹쉘 탐지 Microsoft Defender Portal 자동 탐지
대응 복구 키 재설정, 웹쉘 제거 후 재보안 계정 감시 및 MFA 권고 등


  조치 및 대응 방안  
    1. 패치 적용

        -  Subscription Edition → KB5002768
        -  Server 2019 → KB5002754
        -  Server 2016 → KB5002760 (후속)

    2. 키 회전 및 AMSI 활성화

        -  ASP.NET MachineKey 변경 및 ViewState 서명 재설정
        -   AMSI 활성화 후 Defender Antivirus 설치

    3. IPS/WAF 적용

        - IPS/WAF 신슈 시그니처 업데이트

    4. 격리 및 네트워크 분리

        -  외부 공개된 SharePoint 서버는 즉시 인터넷 격리 또는 VPN 접속으로 전환

    5. 사후 대응

        -  웹쉘 존재 여부 탐지, 포렌식 조사, 백업 데이터 복원 계획
        -  랜섬웨어 대응 및 2차 피해 방지를 위한 권고 사용자 안내

  해킹대응 타임라인  

    -  2025년 7월 18일: ToolShell 공격 탐지 및 최초 침해 확인 (Eye Security 보고)
    -  2025년 7월 20일: CISA ‘Known Exploited Vulnerabilities’ 목록에 CVE-2025-53770 등 등재
    -  2025년 7월 21일: Microsoft 긴급 패치 발표 및 사용 권고 (Subscription Edition, 2019)
    -  2025년 7월 22일~23일: 정부·공공기관 피해확인 (NNSA, DHS, NIH 등)
    -  2025년 7월 31일: 랜섬웨어 전환 사례 및 400개 이상 서버 피해 확인 경고 발표

 

대응내역 요약  

    -  웹쉘 설치 경로 탐지 및 spinstall0.aspx 제거
    -  MachineKey 및 ViewState 서명키 회전 완료
    -  Patch 적용 및 Defender + AMSI 설정 적용
    -  로그 기반 이상행위 탐색 및 lateral movement 탐지
    -  보안 교육 강화, ZTNA 도입 및 퍼징 방지 강화

 

  관련기사(출처)  

 

감사합니다.

관련글 더보기